Nueva utilidad COPYMBR.EXE para salvar los 512 bytes del MBR HD1 en fichero c:\MBR001.HD1

Publicado el 28 octubre 2009 ¬ 16:14 pmh.mscComentarios desactivados en Nueva utilidad COPYMBR.EXE para salvar los 512 bytes del MBR HD1 en fichero c:\MBR001.HD1

Ante la progresión de algunas variantes de Bredolabs que descargan malware que se autoejecuta sobreescribiendo el MBR del disco duro, instalando un RootKit de MBR, como el Sinowal, o cualquier otra rutina maliciosa, como la del HelpAssistant que copia todos los ficheros del disco duro en una carpeta con dicho nombre, con la ocupacion consiguiente del disco duro asi como ocasionando la ralentizacion de la máquina por el consumo de la CPU en dicho proceso, y seguros que ya habrán mas similares desconocidos, aparte de los que hagan en un futuro, hemos creido conveniente disponer de una utilidad que copie el contenido de dicho sector a un fichero, y asi poder verlo y analizarlo si nos es enviado, con el fin de conocer y controlar nuevas infecciones en dicho sector, de acceso protegido en los sistemas de tecnología NT, pero que desde hace unos días ya accedemos con el ELISTARA : 

https://blog.satinfo.es/?p=1235

Esta nueva utilidad disponible a partir de hoy, se llamará COPYMBR.EXE y podrá ejecutarse arrancando desde el disco duro con windows tipo XP, si bien si se ejecuta arrancando con un LIVECD de windows, como el BARPE, PILITOS, o el RDCOMANDER, que arrancan desde CD en entorno windows, siendo compatible con el sistema NTFS del disco duro, podrá igualmente ejecutarse y en tal caso no le afectarán las técnicas stealth que pudiera contener el RootKit, si fuera el caso de que lo fuera.

El fichero conteniendo la información en cuestión, será guardado en el fichero MBR001.HD1 que ya generaba el antiguo SCOPY para Windows98 en FAT32.

Incluso tenemos el proyecto de desarrollar una utilidad tipo SCOPY, para acceso a los sectores del disco duro y su manipulación, pero para NTFS, ya que en la actualidad la inmensa mayoría de ordenadores con tecnología NT trabajan con él, aunque pudieran hacerlo en FAT32 y de hecho algunos pocos aun lo hacen, y nos tememos que la moda de modificación del MBR en ellos, con o sin RootKit, la utilicen para dificultar mas la detección y eliminación de estos virus, al ser el código MBR lo primero que procesa windows en los discos duros, y no valer el arrancar en modo seguro para dejar de cargar los virus que hubiere en dicho sector…

Esperamos que dicha utilidad servirá para la investigación, detección y control de esta gama de malwares que, si dificiles son los ROOTKITS, si encima residen en dicho sector, ya es como “rizar el rizo”, y si con ello lanzan keyloggers, cazapasswords y demás historias de las que aparecen a diario, podrían ser mas que temibles !

En cuanto la subamos a la web, se indicará link para descarga, al final de este mismo comunicado.

saludos

ms, 28-10-2009

 

ANEXO: Ya se puede descargar desde :

http://www.satinfo.es/db/antivirus/utilitats/copymbr.exe

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies